Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento přehled popisuje, jak Azure Policy pomáhá vynucovat standardy organizace a vyhodnotit dodržování předpisů ve velkém měřítku. Skrze řídicí panel dodržování předpisů nabízí agregované zobrazení sloužící k vyhodnocení celkového stavu prostředí s možností přejít k podrobnostem jednotlivých prostředků a podrobnostem zásad. Pomáhá také dosáhnout souladu vašich prostředků prostřednictvím hromadného řešení pro stávající prostředky a automatického řešení pro nové prostředky.
Note
Další informace o nápravě najdete v tématu Náprava nekompatibilních prostředků pomocí služby Azure Policy.
Mezi běžné případy použití služby Azure Policy patří implementace zásad správného řízení v zájmu zajištění konzistence prostředků, dodržování legislativních předpisů, zabezpečení, řízení nákladů a správa. Definice zásad pro tyto běžné případy použití jsou už ve vašem prostředí Azure předdefinované, aby vám pomohly začít.
Mezi užitečné akce řízení, které můžete vynutit pomocí Azure Policy, patří:
- Ujistěte se, že váš tým nasazuje prostředky Azure jenom do povolených oblastí.
- Vynucujte konzistentní použití taxonomických značek.
- Vyžadovat, aby prostředky odesílaly diagnostické protokoly do pracovního prostoru služby Log Analytics.
Je důležité si uvědomit, že se zavedením služby Azure Arc můžete rozšířit zásady správného řízení napříč různými poskytovateli cloudu a dokonce i do místních datacenter.
Všechna neaktivní uložená data a objekty Azure Policy jsou šifrovaná. Další informace najdete v tématu Šifrování neaktivních uložených dat Azure.
Overview
Azure Policy vyhodnocuje prostředky a akce v Azure porovnáním vlastností těchto prostředků s obchodními pravidly. Tato obchodní pravidla popsaná ve formátu JSON se označují jako definice zásad. Pro zjednodušení správy je možné seskupit několik obchodních pravidel a vytvořit iniciativu zásad, která se označuje také jako sada zásad.
Po vytvoření obchodních pravidel se definice zásad nebo iniciativa přiřadí k libovolnému rozsahu prostředků, které Azure podporuje. Například skupiny pro správu, předplatná, skupiny prostředků nebo jednotlivé prostředky. Přiřazení se vztahuje na všechny zdroje v oboru Resource Manageru daného přiřazení. V případě potřeby je možné vyloučit dílčí rozsahy. Další informace najdete v tématu Obor ve službě Azure Policy.
Azure Policy používá formát JSON k vytvoření logiky, pomocí které vyhodnocení určí, jestli prostředek vyhovuje nebo ne. Definice zahrnují metadata a pravidlo. Definované pravidlo může používat funkce, parametry, logické operátory, podmínky a aliasy vlastností tak, aby přesně odpovídaly požadovanému scénáři. Pravidlo zásady určuje, které prostředky v rozsahu přiřazení se vyhodnotí.
Vysvětlení výsledků vyhodnocení
Prostředky se vyhodnocují v určitých časech během životního cyklu prostředků, životního cyklu přiřazení zásad a pro pravidelné průběžné vyhodnocování dodržování předpisů. Následují časy nebo události, které způsobují vyhodnocení prostředku:
- Prostředek je vytvořen nebo aktualizován v rámci přiřazení zásady.
- Rozsah je přiřazen nové zásadě nebo iniciativě.
- Zásady nebo iniciativa, které jsou už přiřazené k oboru, se aktualizují.
- Standardní cyklus vyhodnocení dodržování předpisů, ke kterému dochází jednou za 24 hodin.
Podrobné informace o tom, kdy a jak probíhá vyhodnocení zásad, najdete v tématu Spouštěče vyhodnocení.
Řízení reakce na vyhodnocení
Obchodní pravidla pro zpracování nekompatibilních prostředků se mezi organizacemi značně liší. Mezi příklady toho, jak organizace chce, aby platforma reagovala na nevyhovující prostředek, patří:
- Zamítnout změnu prostředku.
- Zaznamenejte změnu prostředku.
- Před provedením změny upravte zdroj.
- Po změně změňte prostředek.
- Nasaďte související kompatibilní prostředky.
- Blokovat činnosti na prostředcích.
Azure Policy umožňuje každou z těchto obchodních reakcí prostřednictvím uplatňování účinků. Efekty jsou nastaveny v části pravidla zásaddefinice zásady.
Oprava prostředků, které nevyhovují předpisům
I když tyto účinky primárně ovlivňují prostředek při vytváření nebo aktualizaci prostředku, Azure Policy také podporuje práci se stávajícími nevyhovujícími prostředky, aniž by bylo nutné tento prostředek změnit. Další informace o uvedení stávajících prostředků do souladu najdete v tématu Náprava nevyhovujících prostředků pomocí služby Azure Policy.
Začínáme
Azure Policy a Azure RBAC
Mezi Azure Policy a řízením přístupu na základě role v Azure (Azure RBAC) existuje několik klíčových rozdílů. Azure Policy vyhodnocuje stav prozkoumáním vlastností prostředků, které jsou reprezentované v Resource Manageru a vlastnostech některých poskytovatelů prostředků. Azure Policy zajišťuje, aby stav prostředků dodržoval vaše obchodní pravidla bez obav o to, kdo změnu provedl nebo kdo má oprávnění provést změnu. Azure Policy prostřednictvím efektu DenyAction může také blokovat určité akce u prostředků. Některé prostředky Azure Policy, jako jsou definice zásad, definice iniciativ a přiřazení, jsou viditelné pro všechny uživatele. Tento návrh umožňuje transparentnost pro všechny uživatele a služby ohledně toho, jaká pravidla zásad jsou nastavena v jejich prostředí.
Azure RBAC se zaměřuje na správu akcí uživatelů v různých oborech. Pokud se vyžaduje řízení akce na základě informací o uživateli, pak je Azure RBAC správným nástrojem, který se má použít. I když má jednotlivec přístup k provedení akce, pokud je výsledkem nevyhovující prostředek, Azure Policy stále blokuje vytvoření nebo aktualizaci.
Kombinace Azure RBAC a Azure Policy poskytuje úplné řízení rozsahu v Azure.
Oprávnění Azure RBAC ve službě Azure Policy
Azure Policy má několik oprávnění, označovaných jako operace, ve dvou poskytovatelích prostředků:
Mnoho předdefinovaných rolí uděluje oprávnění k prostředkům Azure Policy. Role Přispěvatel zásad prostředků zahrnuje většinu operací Azure Policy. Vlastník má úplná práva. Přispěvatel i Čtenář mají přístup ke všem operacím čtení Azure Policy.
Přispěvatel může aktivovat nápravu prostředků, ale nemůže vytvářet ani aktualizovat definice a přiřazení.
Správce uživatelských přístupů je nezbytný k udělení spravované identity deployIfNotExists nebo modify přiřazení nezbytných oprávnění.
Note
Všechny objekty zásad, včetně definic, iniciativ a přiřazení, jsou čitelné pro všechny role v oboru. Například přiřazení zásad s oborem předplatného Azure je čitelné pro všechny držitele rolí v oboru předplatného a na nižších úrovních.
Pokud žádná z předdefinovaných rolí nemá požadovaná oprávnění, vytvořte vlastní roli.
Operace Azure Policy můžou mít významný vliv na vaše prostředí Azure. Přiřaďte pouze minimální sadu oprávnění potřebných k provedení úkolu a udělte jim pouze tato oprávnění uživatelům, kteří potřebují oprávnění.
Note
Spravovaná identita přiřazené deployIfNotExists nebo modify zásady potřebuje dostatečná oprávnění k vytvoření nebo aktualizaci cílových prostředků. Další informace najdete v tématu Konfigurace definice zásady.
Speciální požadavek na oprávnění pro Azure Policy pomocí Azure Virtual Network Manageru
Azure Virtual Network Manager (Preview) umožňuje používat konzistentní zásady správy a zabezpečení pro více virtuálních sítí Azure v celé cloudové infrastruktuře. Dynamické skupiny Azure Virtual Network Manageru (AVNM) používají definice služby Azure Policy k vyhodnocení členství ve virtuální síti v těchto skupinách.
Pokud chcete vytvořit, upravit nebo odstranit dynamické zásady skupiny Azure Virtual Network Manageru, potřebujete:
- Čtení a zápis oprávnění Azure RBAC do podkladových zásad
- Oprávnění Azure RBAC pro připojení ke skupině sítě. Autorizace klasického správce není podporovaná.
Požadovaná oprávnění poskytovatele prostředků je Microsoft.Network/networkManagers/networkGroups/join/action.
Important
Pokud chcete upravit dynamické skupiny AVNM, musíte mít udělený přístup pouze prostřednictvím přiřazení role Azure RBAC. Klasický správce nebo starší verze autorizace se nepodporuje. Pokud byl váš účet přiřazen pouze roli předplatitelského spoluadministrátora, neměli byste oprávnění pro dynamické skupiny AVNM.
Prostředky, na které se vztahuje Azure Policy
I když lze zásady přiřadit na úrovni skupiny správy, vyhodnocují se jenom prostředky na úrovni předplatného nebo na úrovni skupiny zdrojů.
Pro některé poskytovatele prostředků, jako je konfigurace počítače, Azure Kubernetes Service a Azure Key Vault, existuje hlubší integrace správy nastavení a objektů. Další informace najdete v režimech poskytovatele prostředků.
Doporučení pro správu politiky
Tady je několik ukazatelů a tipů, které je potřeba mít na paměti:
Začněte s efektem
auditneboauditIfNotExistsmísto efektu vynucení (deny,modify,deployIfNotExists), abyste mohli sledovat, jak vaše definice zásad ovlivňuje prostředky ve vašem prostředí. Pokud už máte skripty pro automatické škálování aplikací, může nastavení efektu vynucení bránit těmto úlohám automatizace, které už jsou zavedené.Při vytváření definic a přiřazení zvažte organizační hierarchie. Doporučujeme vytvářet definice na vyšších úrovních, například na úrovni skupiny pro správu nebo předplatného. Pak vytvořte úlohu na další podřízené úrovni. Pokud vytvoříte definici ve skupině pro správu, přiřazení může být omezené na předplatné nebo skupinu prostředků v rámci této skupiny pro správu.
Doporučujeme vytvářet a přiřazovat definice iniciativ, i když začínáte s jednou definicí zásad. Tato metoda umožňuje přidat definice zásad do iniciativy později, aniž byste zvýšili počet přiřazení ke správě.
Představte si například, že vytvoříte definici zásady policyDefA a přidáte ji do definice iniciativy initiativeDefC. Pokud později vytvoříte další definici zásad policyDefB s cíli podobnými policyDefA, můžete ji přidat do iniciativyDefC a sledovat je společně.
Po vytvoření přiřazení iniciativy se definice zásad přidané do iniciativy stanou také součástí přiřazení této iniciativy.
Při vyhodnocování přiřazení iniciativy se vyhodnocují také všechny zásady v rámci iniciativy. Pokud potřebujete zásadu vyhodnotit jednotlivě, je lepší ji do iniciativy nezahrnovat.
Spravujte prostředky Azure Policy jako kód s ručními kontrolami změn definic zásad, iniciativ a přiřazení. Další informace o navrhovaných vzorech a nástrojích najdete v tématu Návrh služby Azure Policy jako pracovních postupů kódu.
Azure Policy objekty
Objekty zahrnují definice zásad, definice iniciativ a přiřazení.
Definice zásad
Cesta k vytvoření a implementaci zásad ve službě Azure Policy začíná při vytváření definice zásady. Každá definice zásady má vynucené podmínky. A má definovaný účinek, který se provede, pokud jsou splněny podmínky.
Ve službě Azure Policy nabízíme několik předdefinovaných zásad, které jsou ve výchozím nastavení k dispozici. Například:
- Povolené skladové položky účtu úložiště (Odepřít): Určuje, jestli je nasazený účet úložiště v rámci sady velikostí skladových položek. Má za cíl zamítnout všechny účty úložiště, které nevyhovují sadě definovaných velikostí SKU.
- Povolený typ prostředku (Odepřít): Definuje typy prostředků, které můžete nasadit. Jejím účinkem je odepřít všechny prostředky, které nejsou součástí tohoto definovaného seznamu.
- Povolená umístění (Odepřít): Omezí dostupná umístění pro nové prostředky. Jeho účinek se používá k vynucování požadavků na geografické dodržování předpisů.
- Povolené skladové položky virtuálních počítačů (Odepřít): Určuje sadu skladových položek virtuálních počítačů, které můžete nasadit.
- Přidání značky k prostředkům (Úprava): Použije se požadovaná značka a její výchozí hodnota, pokud není specifikována v požadavku na nasazení.
- Nepovolené typy prostředků (Odepřít): Zabrání nasazení seznamu typů prostředků.
K implementaci těchto definic zásad (předdefinovaných i vlastních definic) je potřeba je přiřadit. Jakékoli z těchto zásad můžete přiřadit prostřednictvím webu Azure Portal, PowerShellu nebo Azure CLI.
Vyhodnocení zásad probíhá s několika různými akcemi, jako jsou přiřazení zásad nebo aktualizace zásad. Úplný seznam najdete v sekci Spouštěče vyhodnocení zásad.
Další informace o strukturách definic zásad najdete v základech struktury definic služby Azure Policy.
Parametry zásad pomáhají zjednodušit správu zásad snížením počtu definic zásad, které musíte vytvořit. Parametry můžete definovat při vytváření definice zásady, aby byla obecnější. Pak můžete tuto definici zásad znovu použít pro různé scénáře. Provedete to předáním různých hodnot při přiřazování definice zásady. Například zadání jedné sady lokací pro předplatné.
Parametry se definují při vytváření definice zásady. Definice parametru obsahuje název parametru a volitelné hodnoty. Můžete například definovat parametr pro zásadu s názvem umístění. Při přiřazování zásad pak můžete dát různé hodnoty, jako je EastUS nebo WestUS .
Další informace o parametrech politiky naleznete v struktuře parametrů definice Azure Policy.
Definice iniciativy
Definice iniciativy je kolekce definic zásad, které jsou přizpůsobené k dosažení jednotného zastřešujícího cíle. Definice iniciativ zjednodušují správu a přiřazování definic zásad. Zjednodušují tím, že seskupují sadu zásad do jedné položky. Můžete například vytvořit iniciativu s názvem Povolit monitorování v programu Microsoft Defender for Cloud s cílem monitorovat všechna dostupná doporučení zabezpečení v microsoft defenderu pro cloud.
Note
Sada SDK, jako je Azure CLI a Azure PowerShell, používá vlastnosti a parametry s názvem PolicySet k odkazům na iniciativy.
V rámci této iniciativy byste měli definice zásad, jako jsou:
- Monitorování nešifrované databáze SQL v programu Microsoft Defender for Cloud – monitorování nešifrovaných databází a serverů SQL
- Monitorování zranitelností operačního systému v Microsoft Defender pro cloud – pro monitorování serverů, které nevyhovují nakonfigurovanému základu.
- Monitorování chybějící služby Endpoint Protection v Programu Microsoft Defender pro cloud – pro monitorování serverů bez nainstalovaného agenta ochrany koncových bodů
Podobně jako parametry zásad pomáhají parametry iniciativy zjednodušit správu iniciativ snížením redundance. Parametry iniciativy jsou parametry používané definicemi zásad v rámci iniciativy.
Například v následujícím scénáři máte definici iniciativy initiativeC s definicemi zásad zásadaA a zásadaB, kde každá očekává jiný typ parametru:
| Policy | Název parametru | Typ parametru | Note |
|---|---|---|---|
| policyA | allowedLocations |
pole | Tento parametr očekává seznam řetězců pro hodnotu, protože typ parametru byl definován jako pole. |
| policyB | allowedSingleLocation |
řetězec | Tento parametr očekává jedno slovo pro hodnotu, protože typ parametru byl definován jako řetězec. |
Při definování parametrů iniciativy pro initiativeC máte tři možnosti:
- Použijte parametry definic zásad v rámci této iniciativy: V tomto příkladu se
allowedLocationsaallowedSingleLocationstanou parametry iniciativy initiativeC. - Zadejte hodnoty parametrů definic zásad v rámci této definice iniciativy. V tomto příkladu můžete zadat seznam umístění pro parametr policyA a
allowedLocations. Při přiřazování této iniciativy můžete také zadat hodnoty. - Zadejte seznam možností hodnot , které lze použít při přiřazování této iniciativy. Při přiřazení této iniciativy můžou zděděné parametry z definic zásad v rámci iniciativy obsahovat pouze hodnoty z tohoto zadaného seznamu.
Při vytváření možností hodnot v definici iniciativy nemůžete během přiřazení iniciativy zadat jinou hodnotu, protože není součástí seznamu.
Další informace o strukturách definic iniciativ najdete v tématu Struktura definic iniciativy Azure Policy.
Assignments
Přiřazení je definice zásady nebo iniciativa, která byla přiřazena ke konkrétnímu oboru. Tento obor může být v rozsahu od skupiny pro správu až po jednotlivé prostředky. Obor termínu odkazuje na všechny prostředky, skupiny prostředků, předplatná nebo skupiny pro správu, ke kterým je definice přiřazena. Všechny podřízené prostředky dědí přiřazené úkoly. Tento návrh znamená, že definice použitá na skupinu prostředků se také použije na prostředky v této skupině prostředků. Nicméně, můžete vyloučit dílčí rozsah z přiřazení úkolu.
Například v oboru předplatného můžete přiřadit definici, která brání vytvoření síťových prostředků. Můžete vyloučit skupinu prostředků v daném předplatném, která je určená pro síťovou infrastrukturu. Potom této skupině síťových prostředků udělíte přístup uživatelům, kterým důvěřujete při vytváření síťových prostředků.
V jiném příkladu můžete chtít přiřadit definici seznamu povolených typů prostředků na úrovni skupiny pro správu. Pak přiřadíte méně restriktivní zásady (umožňující více typů prostředků) na podřízenou skupinu pro správu nebo dokonce přímo na předplatné. Tento příklad ale nebude fungovat, protože Azure Policy je explicitní systém odepření. Místo toho musíte vyloučit podřízenou skupinu pro správu nebo předplatné z přiřazení na úrovni správy. Potom přiřaďte shovívavější definici na úrovni podřízené skupiny pro správu nebo předplatného. Pokud některé přiřazení vede k odepření zdroje, jediným způsobem, jak zdroj povolit, je upravit zamítající přiřazení.
Přiřazené zásady při vyhodnocování prostředků vždy používají poslední verzi definice nebo iniciativy, které jsou přiřazené. Pokud se změní definice přiřazené zásady, všechna existující přiřazení této definice při vyhodnocování používají aktualizovanou logiku.
Další informace o tom, jak nastavit úkoly prostřednictvím portálu, najdete v tématu Vytvoření přiřazení zásad pro identifikaci nevyhovujících prostředků ve vašem prostředí Azure. K dispozici jsou také kroky pro PowerShell a Azure CLI . Informace o struktuře přiřazení najdete v tématu Struktura přiřazení služby Azure Policy.
Maximální počet objektů Azure Policy
Pro každý typ objektu pro Azure Policy existuje maximální počet. U definic znamená položka Rozsah buď skupina pro správu, nebo předplatné. Pro přiřazení a výjimky položka Oboru znamená skupinu pro správu, předplatné, skupinu prostředků nebo jednotlivé prostředky.
| Where | What | Maximální počet |
|---|---|---|
| Scope | Definice zásad | 500 |
| Scope | Definice iniciativ | 200 |
| Tenant | Definice iniciativ | 2,500 |
| Scope | Přiřazení zásad nebo iniciativ | 200 |
| Scope | Exemptions | 1000 |
| Definice zásad | Parameters | 20 |
| Definice iniciativy | Policies | 1000 |
| Definice iniciativy | Parameters | 400 |
| Přiřazení zásad nebo iniciativ | Vyloučení (notScopes) | 400 |
| Zásadové pravidlo | Vnořené podmíněné podmínky | 512 |
| Náprava – úloha | Resources | 50,000 |
| Definice zásad, iniciativa nebo text žádosti o přiřazení | Bytes | 1,048,576 |
Pravidla zásad mají větší omezení počtu podmínek a jejich složitosti. Další informace najdete v tématu Omezení pravidel zásad.
Další kroky
Teď, když máte přehled o službě Azure Policy a některých klíčových konceptech, najdete další informace o této službě pomocí následujících odkazů.
- Glosář služby Azure Policy
- Základy struktury definic Azure Policy
- Rychlý průvodce: Vytvoření přiřazení zásad k identifikaci nevyhovujících prostředků pomocí Azure Portal